路透社记者从多个来源收集了有关其运营和客户的详细信息,包括连接到名为“MyCommando”的 Appin 网站的日志。Appin 客户使用该网站从路透社描述的一系列选项中订购服务,用于侵入目标实体的电子邮件、电话和计算机。
路透社在其报告中提到,此前的调查已将 Appin 与其中一些事件联系起来,例如 Telenor 事件。
近乎确凿的证据
路透社委托 SentinelOne 对数据进行的审查进一步证实了这种联系。这家网络安全公司对路透社记者收集的数据进行了详尽的分析,显示 Appin 与众多数据盗窃事件之间有近乎确定的联系。其中包括窃取巴基斯坦政府官员的电子邮件和其他数据。
SentinelLabs 首席威胁研究员 Tom Hegel 表示:“该组织目前的状况与十年前有很大不同。我们研究中的最初实体‘Appin’已经不复存在,但可以被视为当今几家黑客雇佣企业的鼻祖。”
基础设施采购
SentinelOne 的审查显示,Appin 经常使用第三方外部承包商来获取和管理其用于代表客户实施攻击的基础设施。Appin 操作人员基本上会要求承包商购买具有特定技术要求的服务器。承包商将为 Appin 购买的服务器类型包括用于存储泄露数据的服务器;命令和控制服务器、托管用于凭证网络钓鱼的网页的服务器以及托管旨在引诱特定目标受害者的网站的服务器。
Appin 高管利用内部员工和位于加利福尼亚州的自由门户网站 Elance(现称为 Upwork)来寻找程序员来编写恶意软件和漏洞利用程序。例如,雇佣黑客组织在攻击 Telenor 时使用的 USB 传播器工具就是一位这样的 Elance 自由职业者的作品。在 2009 年的招聘启事中,Appin 将其正在寻找的工具描述为“高级数据备份实用程序”。该公司为该产品支付了 500 美元。
SentinelOne 表示:“十多年前,向客户提供的进攻性安全服务包括通过多种技术形式窃取数据,通常在内部称为‘拦截’服务。其中包括键盘记录、帐户凭据网络钓鱼、网站篡改和 SEO 操纵/虚假信息。”
Appin 还可以满足客户的请求,例如按需破解被盗文档的密码。
在审查期间,印度私营部门的雇佣黑客行业表现出了显着的创造力,尽管在特定时期还具有一定的技术基础。
在这个时代,该行业以创业方式运作,通常选择具有成本效益且简单的进攻能力,尽管这些攻击者的行动规模相当大,但他们通常不属于高度复杂的攻击者,特别是与成熟的高级持续威胁 (APT) 或犯罪组织相比。
转自E安全,原文链接:https://mp.weixin.qq.com/s/CwVECpkIO-NUjQXvVOIZpg
封面来源于网络,如有侵权请联系删除